Brasil, Sudáfrica, Indonesia, Argentina y Tailandia se han convertido en los objetivos de una campaña que ha infectado a los dispositivos de TV Android con un malware Botnet doblado Agua.
Se ha opuesto que la cambio mejorada de VO1D albarca 800,000 direcciones IP activas diarias, con la botnet escalando un pico de 1,590,299 el 19 de enero de 2025, que albarca 226 países y regiones. A partir del 25 de febrero de 2025, India ha experimentado un aumento importante en la tasa de infección, aumentando de menos del 1% (3,901) al 18.17% (217,771).
«VO1D ha evolucionado para mejorar su sigilo, resistor y capacidades anti-detección», dijo Qianxin XLAB. «El oculto de RSA asegura la comunicación de la red, evitando los investigadores (cada carga de comando y control) incluso si (el operación de engendramiento de dominio) están registrados por los investigadores. Cada carga útil utiliza un descargador único, con oculto XXTEA y claves protegidas con RSA, haciendo que el prospección sea más difícil».
Doctor Web documentó por primera vez el malware en septiembre de 2024 como que afectan las cajas de TV basadas en Android por medio de una puerta trasera que es capaz de descargar ejecutables adicionales basados en instrucciones emitidas por el servidor de comando y control (C2).
No está exactamente claro cómo tienen empleo los compromisos, aunque se sospecha que implica algún tipo de ataque de sujeción de suministro o el uso de versiones de firmware no oficiales con camino a raíz incorporado.
Google le dijo a The Hacker News en ese momento que los modelos de TV «fuera de marca» infectados no eran dispositivos Android certificados por Protex y que probablemente usaron el código fuente del repositorio de código del Esquema Open Open de Android (AOSP).
La última iteración de la campaña de malware muestra que está operando a una escalera masiva con la intención de proporcionar la creación de una red proxy y actividades como el fraude de clics publicitarios.
XLAB teorizó que la rápida fluctuación en la actividad de Botnet probablemente se deba a que su infraestructura se arriende en regiones específicas a otros actores criminales como parte de lo que dijo es un ciclo de «retorno de arrendamiento» donde los bots se alquilan por un período de tiempo establecido para permitir operaciones ilegales, a posteriori de lo cual se unen a la red VO1D más magnate.
Un prospección de la lectura más nueva del Malware ELF (S63) ha opuesto que está diseñado para descargar, descifrar y ejecutar una carga útil de la segunda etapa responsable de establecer comunicaciones con un servidor C2.
El paquete comprimido descifrado (TS01) contiene cuatro archivos: Install.Sh, CV, VO1D y X.APK. Comienza con el script de shell que inicia el componente CV, que, a su vez, inicia tanto VO1D como la aplicación Android a posteriori de la instalación.
La función principal del módulo VO1D es descifrar y cargar una carga útil integrada, una puerta trasera que es capaz de establecer la comunicación con un servidor C2 y descargar y ejecutar una biblioteca nativa.
«Su funcionalidad central permanece sin cambios», dijo Xlab. «Sin secuestro, ha sufrido actualizaciones significativas a sus mecanismos de comunicación de red, en particular la inmersión de un redirector C2. El redirector C2 sirve para proporcionar al BOT la dirección actual del servidor C2, aprovechando un redirector C2 codificado y un gran reunión de dominios generados por un DGA para construir una edificación de red expansiva».
Por su parte, la aplicación Maliciosa de Android lleva el nombre del paquete «com.google.android.gms.stable» en lo que es un claro intento de disfrazarse como los servicios legítimos de Google Play («com.google.android.gms») para volatilizarse bajo el radar. Establece persistencia en el host escuchando el evento «Boot_completed» para que se ejecute automáticamente a posteriori de cada reinicio.
Igualmente está diseñado para difundir otros dos componentes que tienen una funcionalidad similar a la del módulo VO1D. La sujeción de ataque allana el camino para el despliegue de un malware modular de Android llamado MZMess que incorpora cuatro complementos diferentes –
- POPA («com.app.mz.popan») y jaguar («com.app.mz.jaguarn») para servicios proxy
- Lxhwdg («com.app.mz.lxhwdgn»), cuyo propósito sigue siendo desconocido correcto a que su servidor C2 está fuera de cuerda
- Spirit («com.app.mz.spiritn») para la promoción de anuncios e inflación del tráfico
La desidia de superposiciones de infraestructura entre MZMess y VO1D ha planteado la posibilidad de que la amenaza detrás de la actividad maliciosa pueda estar alquilando el servicio a otros grupos.
«Actualmente, VO1D se usa para obtener ganancias, pero su control total sobre los dispositivos permite a los atacantes pivotar a ataques cibernéticos a gran escalera u otras actividades criminales (como ataques distribuidos de negativa de servicio (DDoS))», dijo XLAB. «Los piratas informáticos podrían explotarlos para transmitir contenido no calificado».
